Исследователи Unit 42 обнаружили новое вредоносное ПО для скрытого майнинга Monero, которое распространяется в контейнерных приложениях на базе Kubernetes.
Изначально злоумышленники проникли в систему через неправильно настроенный kubelet, разрешающий анонимный доступ. После чего программа начала заражать узлы сервисов, маскируя процессы под именем Linux (bioset), внедряя библиотеки на основе LD_PRELOAD и шифруя данные внутри двоичного файла.
Скрипты для скрытого майнинга Hildegard распространяются с первой половины января, но до сих пор были практически неактивны. Поэтому исследователи предполагают, что кампания хакеров находится на стадии разведки и развертывания.
«У нас есть веские основания полагать, что группа скоро начнет широкомасштабную атаку. Вредоносная программа может использовать вычислительные ресурсы в средах Kubernetes для скрытого майнинга и потенциально извлекать конфиденциальные данные из тысяч приложений в кластерах», – отметили в Unit 42.
Сейчас вредонос имеет мощность хеширования около 25,05 kH/s, а в кошельке хакеров находится 11 XMR (более $1600 на момент написания).
Команда Unit 42 предполагает, что за разработкой скриптов стоит группа хакеров TeamTNT, ответственная за ботнет для скрытого майнинга Monero, заразивший миллионы IP-адресов, и запуск червя для кражи информации об учетных записях Amazon Web Services.
Ранее хакерская группировка Rocke атаковала необновленные облачные сервера Apache, Oracle и Redis с помощью вредоносного ПО Pro-Ocean для скрытого майнинга криптовалют.
